Centre de sécurité désactivé

Doumi -  
 gen-hackman -
Bonjour,

Sous Windows 7 - Internet Explorer 9.0 - Avast version gratuite 110430-1

Suite à problème avec le virus Win 7 Total security, j'ai mis en quarantaine 9 menaces (trojan, Hijack, Broken) avec malwarebytes anti-malware.
- Comment savoir si le danger est définitivement écarté ? A ce jour j'ai retrouvé l'accès à internet mais le service Centre de Sécurité Windows reste désactivé et il m'est impossible de l'activé !!!!!

Merci par avance pour vos conseils.

45 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Sous Windows 7, avec Internet Explorer 9 et Avast gratuit, la problématique porte sur un virus et la quarantaine de neuf éléments (trojan, Hijack, Broken), sans certitude que le danger soit écarté.
Plusieurs réponses recommandent des outils de diagnostic (OTL, ZHPDiag, ZHPFix, Ad-Remover) pour identifier des entrées de registre et des programmes de démarrage malveillants susceptibles d’empêcher l’activation du Centre de Sécurité.
Des échanges évoquent des pistes comme réinstaller Windows 7 via une copie de réinstallation, examiner les rapports ZHPFix et vérifier les éléments de démarrage ou les extensions liées à Avast.
Par ailleurs, des questions portent sur les protections à désactiver précisément et sur l’origine du Pre_Scan, ainsi que sur l’éventuelle présence d’un proxy et l’absence d’antivirus actif.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    salut

    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    ================================

    desactive tes protections puis enregistre ceci sur ton bureau

    Pre_Scan

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan puis colle le contenu de "Pre_scan.txt" qui apparaitra à son terme , sur le bureau.

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus
    0
    1. Doumi
       
      Voici la réponse d'Ad-Remover, je vais faire la suite comme convenu.

      RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

      Mis à jour par TeamXscript le 12/04/11
      Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
      Site web: http://www.teamxscript.org

      C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 20:15:13 le 30/04/2011, Mode normal

      Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (X64)
      Doumi@GUY32-VAIO (Sony Corporation VGN-FW54E)

      ============== ACTION(S) ==============



      (!) -- Fichiers temporaires supprimés.




      ============== SCAN ADDITIONNEL ==============

      **** Internet Explorer Version [9.0.8112.16421] ****

      IEXPLORE.EXE\Shell\Open\Command - iexplore.exe
      HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
      HKCU_Main|Start Page - hxxp://fr.msn.com/
      HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
      HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
      HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      HKLM_Main|Start Page - hxxp://fr.msn.com/
      HKCU_SearchScopes\{5DD432B1-1DE7-4586-93F7-33BDCC133C55} - "Zinio" (hxxp://services.zinio.com/search?s={selection}&rf=sonyslices)
      HKCU_SearchScopes\{D994AC89-284C-413D-8DDA-4D7A9871E9D7} - "eBay" (hxxp://rover.ebay.com/rover/1/709-42536-16445-8/4?satitle={searchTerms})
      HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} (C:\Program Files (x86)\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll)
      HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
      HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
      HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
      HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
      HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
      HKLM_Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66} - "?" (?)
      HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "Envoyer à Bluetooth" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
      BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
      BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)

      ========================================

      C:\Program Files (x86)\Ad-Remover\Quarantine: 5 Fichier(s)
      C:\Program Files (x86)\Ad-Remover\Backup: 15 Fichier(s)

      C:\Ad-Report-CLEAN[1].txt - 30/04/2011 20:10:14 (3383 Octet(s))
      C:\Ad-Report-CLEAN[2].txt - 30/04/2011 20:15:49 (2967 Octet(s))
      0
    2. gen-hackman
       
      tu peux fournir celui-ci ?

      C:\Ad-Report-CLEAN[1].txt
      0
    3. Doumi
       
      Le voici
      RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

      Mis à jour par TeamXscript le 12/04/11
      Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
      Site web: http://www.teamxscript.org

      C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:09:48 le 30/04/2011, Mode normal

      Microsoft Windows 7 Édition Familiale Premium Service Pack 1 (X64)
      Doumi@GUY32-VAIO (Sony Corporation VGN-FW54E)

      ============== ACTION(S) ==============


      Dossier supprimé: C:\Users\Doumi\AppData\Roaming\OpenCandy
      Dossier supprimé: C:\Users\Doumi\AppData\Local\OpenCandy
      Dossier supprimé: C:\Users\Doumi\AppData\Roaming\OfferBox

      (!) -- Fichiers temporaires supprimés.


      Clé supprimée: HKLM\Software\OfferBox
      Clé supprimée: HKCU\Software\OfferBox
      Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom


      ============== SCAN ADDITIONNEL ==============

      **** Internet Explorer Version [9.0.8112.16421] ****

      IEXPLORE.EXE\Shell\Open\Command - iexplore.exe
      HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
      HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
      HKCU_Main|Start Page - hxxp://fr.msn.com/
      HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
      HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
      HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
      HKLM_Main|Start Page - hxxp://fr.msn.com/
      HKCU_SearchScopes\{5DD432B1-1DE7-4586-93F7-33BDCC133C55} - "Zinio" (hxxp://services.zinio.com/search?s={selection}&rf=sonyslices)
      HKCU_SearchScopes\{D994AC89-284C-413D-8DDA-4D7A9871E9D7} - "eBay" (hxxp://rover.ebay.com/rover/1/709-42536-16445-8/4?satitle={searchTerms})
      HKLM_Toolbar|{8dcb7100-df86-4384-8842-8fa844297b3f} (C:\Program Files (x86)\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll)
      HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
      HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
      HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
      HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
      HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
      HKLM_Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66} - "?" (?)
      HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "Envoyer à Bluetooth" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
      BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
      BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)

      ========================================

      C:\Program Files (x86)\Ad-Remover\Quarantine: 5 Fichier(s)
      C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

      C:\Ad-Report-CLEAN[1].txt - 30/04/2011 20:10:14 (3244 Octet(s))

      Fin à: 20:11:16, 30/04/2011

      ============== E.O.F ==============
      0
    4. Doumi
       
      Petites questions :
      Desactiver quelles protections précisément ?

      Il faut télécharger Pre_Scan à partir de quoi ? Cela fait rien de télécharger sans anti-virus ?

      Je ne sais pas ce qu'est un Proxi, comment savoir si j'en ai installé ?

      Désolée, mais je ne suis pas à la pointe de l'informatique.
      0
  2. gen-hackman
     
    reponds avec le bouton vert si possible merci

    tu cliques sur le lien bleu au dessus , tu le telecharges , tu l'enregistres sur ton bureau , tu coupes les protections , et tu l'executes
    0
  3. Doumi
     
    Voici la réponse
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan 1.0.0.40 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | Seven - 32/64 ¤¤¤¤¤

    Mis à jour le 30/04/2011 | 18.50 par g3n-h@ckm@n
    Utilisateur : Doumi (Administrateurs)
    Ordinateur : GUY32-VAIO

    Système d'exploitation : Windows 7 Home Premium (64 bits)
    Internet Explorer : 9.0.8112.16421
    Mozilla Firefox :

    Scan : 21:16:52 | 30/04/2011

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKCU\..\..\Winlogon] | Shell -> Aucune modification : explorer.exe -> explorer.exe

    ¤

    [HKLM\..\..\Winlogon] | Shell -> Aucune modification : explorer.exe -> explorer.exe
    [HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
    [HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\Windows\SysWOW64\userinit.exe, -> C:\Windows\SysWOW64\userinit.exe,
    [HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Aucune modification : 1 -> 1

    ¤¤¤¤¤¤¤¤¤¤ Associations

    [.exe] : exefile
    [exefile | command] : "%1" %*
    [.com] : comfile
    [comfile | command] : "%1" %*
    [.reg] : regfile
    [regfile | command] : regedit.exe "%1"
    [.scr] : scrfile
    [scrfile | command] : "%1" /S
    [.bat] : batfile
    [batfile | command] : "%1" %*
    [.cmd] : cmdfile
    [cmdfile | command] : "%1" %*
    [.pif] : piffile
    [piffile | command] : "%1" %*

    ¤

    [IE | Command] | @ -> Aucune modification : "C:\Program Files (x86)\Internet Explorer\iexplore.exe" -> "C:\Program Files (x86)\Internet Explorer\iexplore.exe"
    [Applications | IE | Command] | @ -> Aucune modification : "C:\Program Files (x86)\Internet Explorer\iexplore.exe" %1 -> "C:\Program Files (x86)\Internet Explorer\iexplore.exe" %1
    [Chrome | Command] | @ -> Aucune modification : "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -> "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

    ¤

    [Assoc | Applications] | @ -> Aucune modification : http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s -> http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s

    ¤

    ¤

    ¤¤¤¤¤¤¤¤¤¤ Services

    [Ndisuio] | Start -> Aucune modification : 3 -> 3
    [lmhosts] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [LanmanWorkstation] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [LanmanServer] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [agp440] | Start -> Aucune modification : 2 -> 2 : Service Redemarré
    [AudioEndpointBuilder] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [Audiosrv] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [BFE] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [Bits] | Start -> Modification apportée : 3 -> 2 : Service Actif
    [CryptSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [EapHost] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [Wlansvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [SharedAccess] | Start -> Aucune modification : 2 -> 2 : Service Redemarré
    [wuauserv] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [WerSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [wscsvc] | Start -> Aucune modification : 2 -> 2 : Service Redemarré

    ¤¤¤¤¤¤¤¤¤¤ Internet Explorer

    [HKCU | Main] | Start Page -> Aucune Modification : http://www.google.com/ -> http://www.google.com/
    [HKCU | Main] | Local Page -> Aucune Modification : C:\Windows\SysWOW64\blank.htm -> C:\Windows\SysWOW64\blank.htm
    [HKCU | Main] | Search Page -> Aucune Modification : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    [HKLM | Main] | Start Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
    [HKLM | Main] | Local Page -> Aucune Modification : C:\Windows\SysWOW64\blank.htm -> C:\Windows\SysWOW64\blank.htm
    [HKLM | Main] | Default_Search_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
    [HKLM | Main] | Default_Page_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
    [HKLM | Main] | Search Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896

    ¤¤¤¤¤¤¤¤¤¤ Processus

    C:\Windows\explorer.exe -> Processus stoppé

    ¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine

    ¤¤¤¤¤¤¤¤¤¤ IFEO

    ¤¤¤¤¤¤¤¤¤¤ Mountpoints2

    ¤¤¤¤¤¤¤¤¤¤ MBR

    MBRCheck, version 1.2.3
    (c) 2010, AD

    Command-line: -za C:\MBR\MBR.bin
    Windows Version: Windows 7 Home Premium Edition
    Windows Information: Service Pack 1 (build 7601), 64-bit
    Base Board Manufacturer: Sony Corporation
    BIOS Manufacturer: American Megatrends Inc.
    System Manufacturer: Sony Corporation
    System Product Name: VGN-FW54E
    Logical Drives Mask: 0x00000074

    Analysis of file "C:\MBR\MBR.bin":
    Windows XP MBR code detected

    Done!

    ¤¤¤

    Fin : 21:17:03

    ¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. gen-hackman
     
    telecharge ici :

    MBR_Repair

    enregistre-le sur ton bureau ,

    lance-le , choisis "Repair"

    choisis "Windows 7"

    ton pc va redemarrer

    à ton retour , relance MBR_Repair puis fais l'option "Verify"

    MBR_Verify.txt se mettra sur ton bureau poste ici son contenu
    0
  6. Doumi
     
    Voici le contenu de MBR Verify
    ¤¤¤¤¤¤¤¤¤ MBR_Repair | Verify | 1.0.0.1¤¤¤¤¤¤¤¤¤¤

    Mis à jour le 10/04/2011 | 16.30 par g3n-h@ckm@n

    Utilisateur : Doumi (Administrateurs)
    Ordinateur : GUY32-VAIO

    Système d'exploitation : Windows 7 Home Premium (64 bits)

    Scan : 22:31:50 | 30/04/2011

    MBRCheck, version 1.2.3

    (c) 2010, AD

    Command-line: -za MBR.bin

    Windows Version: Windows 7 Home Premium Edition

    Windows Information: Service Pack 1 (build 7601), 64-bit

    Base Board Manufacturer: Sony Corporation

    BIOS Manufacturer: American Megatrends Inc.

    System Manufacturer: Sony Corporation

    System Product Name: VGN-FW54E

    Logical Drives Mask: 0x00000074

    Analysis of file "MBR.bin":

    Windows 7 MBR code detected

    Done!
    0
  7. Doumi
     
    J'en profite également pour vous trasmettre les 2 rapports de Malwayrebytes (scan effectué avant de prendre contact avec vous).
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6468

    Windows 6.1.7601 Service Pack 1
    Internet Explorer 8.0.7601.17514

    29/04/2011 06:36:31
    mbam-log-2011-04-29 (06-36-31).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 154830
    Temps écoulé: 2 minute(s), 17 seconde(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 2
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    c:\Users\Doumi\AppData\Local\nta.exe (Trojan.FakeAlert) -> 3228 -> Unloaded process successfully.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\Doumi\AppData\Local\nta.exe" -a "C:\Program Files (x86)\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("C:\Users\Doumi\AppData\Local\nta.exe" -a "%1" %*) Good: ("%1" %*) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Users\Doumi\AppData\Local\nta.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\Doumi\local settings\nta.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\Doumi\local settings\syo.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\Doumi\local settings\application data\nta.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    c:\Users\Doumi\local settings\application data\syo.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6468

    Windows 6.1.7601 Service Pack 1
    Internet Explorer 8.0.7601.17514

    29/04/2011 20:34:13
    mbam-log-2011-04-29 (20-34-13).txt

    Type d'examen: Examen complet (C:\|E:\|F:\|G:\|)
    Elément(s) analysé(s): 286969
    Temps écoulé: 37 minute(s), 48 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Users\Doumi\AppData\Roaming\opencandy\opencandy_09dbbf86dd4b406887aaf6d48480fe1d\offerboxsetup_fr.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

    En espèrant que ces rapports apporteront une information supplémentaire.

    Dans l'attente de vos conseils, je vous remercie pour vos propositions de démarches.
    0
  8. gen-hackman
     
    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Configuration

    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  9. Doumi
     
    Voici le lien pour OTL.texte
    http://www.cijoint.fr/cjlink.php?file=cj201104/cijuCqLvNX.txt
    0
  10. Doumi
     
    Et voici le lien du dépôt du fichier Extras.Txt

    http://www.cijoint.fr/cjlink.php?file=cj201104/cijQyhU0zY.txt
    0
  11. gen-hackman
     
    ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous "Personnalisation" :


    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe

    :OTL
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
    O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
    O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Reg Error: Key error.)

    :Reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Reader Speed Launcher"=-
    "ControlCenter3"=-

    :Files
    C:\Users\Doumi\AppData\Local\0g6x7s71hh4a7j71h7ucq5600
    C:\ProgramData\0g6x7s71hh4a7j71h7ucq5600

    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    ▶ Clique sur "Correction" pour lancer la suppression.

    ▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

    G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
    0
  12. Doumi
     
    Bonjour, me revoilà. Tout d'abord, bon 1er mai 2011.

    Voici le rapport:
    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    No active process named iexplore.exe was found!
    No active process named firefox.exe was found!
    Process msnmsgr.exe killed successfully!
    No active process named Teatimer.exe was found!
    ========== OTL ==========
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
    Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\HideSCAHealth deleted successfully.
    Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
    ========== REGISTRY ==========
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Adobe Reader Speed Launcher deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ControlCenter3 deleted successfully.
    ========== FILES ==========
    C:\Users\Doumi\AppData\Local\0g6x7s71hh4a7j71h7ucq5600 moved successfully.
    C:\ProgramData\0g6x7s71hh4a7j71h7ucq5600 moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Doumi
    ->Temp folder emptied: 2354905 bytes
    ->Temporary Internet Files folder emptied: 41553618 bytes
    ->Java cache emptied: 45707338 bytes
    ->Flash cache emptied: 2629 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 1888073 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50674 bytes
    RecycleBin emptied: 4863 bytes

    Total Files Cleaned = 87,00 mb

    OTL by OldTimer - Version 3.2.22.3 log created on 05012011_053201

    Files\Folders moved on Reboot...
    File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.
    C:\Windows\temp\FXSAPIDebugLogFile.txt moved successfully.
    File\Folder C:\Windows\temp\~DF0606C84469C62F97.TMP not found!
    File\Folder C:\Windows\temp\~DF2DD6BBF3607C605A.TMP not found!
    File\Folder C:\Windows\temp\~DF2EC8AB41C5C961ED.TMP not found!
    File\Folder C:\Windows\temp\~DF40CC5CD2C9253825.TMP not found!
    File\Folder C:\Windows\temp\~DF59B16DEDD2960045.TMP not found!
    File\Folder C:\Windows\temp\~DF9616D6236D75D69E.TMP not found!
    File\Folder C:\Windows\temp\~DFA0EE51B5088660B3.TMP not found!
    File\Folder C:\Windows\temp\~DFA6567C0F6A6D2FF7.TMP not found!
    File\Folder C:\Windows\temp\~DFA9156E2C007080D0.TMP not found!
    File\Folder C:\Windows\temp\~DFAC021B78146095A4.TMP not found!
    File\Folder C:\Windows\temp\~DFB2A17EFDECE7D37F.TMP not found!
    File\Folder C:\Windows\temp\~DFBEB6F73EF596FE4F.TMP not found!
    File\Folder C:\Windows\temp\~DFD4784C008F2996E1.TMP not found!
    File\Folder C:\Windows\temp\~DFE48B69FB926FAD00.TMP not found!

    Registry entries deleted on Reboot...
    0
  13. Doumi
     
    Je n'ai plus de réponse de votre part ????
    0
  14. gen-hackman
     
    re ,

    il m'arrive aussi de dormir :)

    quels soucis persistent ? toujours des soucis de centre de securité ?
    0
  15. Doumi
     
    Bonjour,
    Dans un 1er temps suite aux diverses manipulations effectuées par vos services et résultats obtenus, pouvez-vous me dire si l'ordinateur est finalement infecté par Win 7 Total Security comme je le craignais ?

    D'autre part, le service centre de sécurité windows ne peut toujours pas être activé !!!

    Merci, pour vos réponses.
    0
  16. Doumi
     
    Je suis désolée de vous ennuyer une fois de plus mais je ne sais pas ce que je dois faire suite à notre dernier contact ?

    Dans un 1er temps suite aux diverses manipulations effectuées par vos services et résultats obtenus, pouvez-vous me dire si l'ordinateur est finalement infecté par Win 7 Total Security comme je le craignais ?

    D'autre part, le service centre de sécurité windows ne peut toujours pas être activé !!!

    Merci par avance.
    0
  17. gen-hackman
     
    tu as encore signe de vie du virus ??
    0
  18. Doumi
     
    Comment puis-je savoir si j'ai encore une signe de virus, l'ordinateur fonctionne normalement excepté que je ne puisse toujours pas activer le centre de sécurité windows 7
    0
  19. gen-hackman
     
    telecharge ici : Load_KidoKiller

    Desactive tes protections

    lance-le , clique sur lancer le nettoyage

    à la fin Kido.txt se mettra sur ton bureau

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clic droit dessus , envoyer vers , dossiers compressés

    ensuite :

    tu m'envoies l'archive comme ceci :

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
    0
  20. Doumi
     
    Voici le dépôt du fichier Kido.zip

    http://www.cijoint.fr/cjlink.php?file=cj201105/cijvO7J455.zip
    0
  • 1
  • 2
  • 3